Ciscon reitittimet ottavat jälleen hakkereiden valon

Cisco-hakkerointi-kohtaus on on ollut melko hiljainen viimeisten kolmen vuoden aikana, mutta tämän viikon Black Hatin hakkerin konferenssissa Las Vegasiin tulee vähän melua.

Turvallisuustutkijat kertovat rootkitista ja uusista reitittimien hakkerointi- ja tunkeutumisohjelmista jotka kuljettavat suurimman osan Internetin liikenteestä.

Kolme vuotta sitten turvallisuus-tutkija Michael Lynn loi valokeilon Ciscon tuotteista, kun hän puhui siitä, kuinka hän suoritti yksinkertaisen "shellcode" -ohjelman reitittimessä ilman lupaa. Lynnin kiistanalainen keskustelu oli Black Hatin 2005 suurin tarina. Hänen oli lopetettava hänen päivätyöstään kiertämällä Ciscoa keskustelemasta, ja Ciscon haastatteli hän sekä konferenssin järjestäjiä ja hänet. Verkostoitunut yritys väitti, että Lynnin esitysleikkaukset sisälsivät informaatiota, joka rikkoi yrityksen immateriaalioikeuksia ja Lynnin puhe oli kirjaimellisesti irrotettu kokousmateriaalipaketista.

[Lue lisää: Parhaat NAS-kotelot mediasoittimeen ja varmuuskopiointiin]

Tänään Cisco Chief Tietoturva-asiamies John Stewart on erittäin iloinen kokemuksesta, sanoen, että hänen yrityksensä toimi oikeista syistä - suojelee asiakkaitaan ja henkistä omaisuutta - mutta meni liian pitkälle. "Teimme jonkinlaisia ​​typeriä asioita", hän sanoi. "Siksi olen henkilökohtaisesti sponsoroinut Black Hatia platinan tasolla siitä lähtien, koska mielestäni meillä oli jonkin verran sovitusta."

Lynn ei ollut pitkään töissä. Cisco-kilpailija Juniper Networks sai hänet nopeasti, mutta muutaman vuoden kuluttua puheenvuorostaan ​​ei ollut paljon julkista keskustelua Ciscon hakkeroinnista, Black Männin johtajan Jeff Mossin mukaan.

Moss uskoo, että taloustieteet ovat voineet ajaa jotkut Ciscon tutkijat maan alla. Mikä tahansa koodi, joka hyödyntää Ciscon haavoittuvuuksia, on niin arvokas, että jokainen hakkeri, joka haluaa paljastaa löydöstään sen sijaan, että hän myyisi niitä turvallisuusyhtiölle tai valtion virastolle, luopuu usein paljon rahaa, Moss sanoi. Mike Lynnin haavoittuvuus oli noin 250 000 dollaria, hän arvioi.

Mutta tänä vuonna asiat ovat avautuneet. Black Hat -organisaattorit suunnittelevat kolmea keskustelua Ciscon reitittimistä ja Internetwork-käyttöjärjestelmästä. "Äskettäin tänä vuonna paljon juttuja on murskannut", Moss sanoi.

Viime aikoina Microsoft Windows ei ole enää hedelmällinen maapallo vikojen metsästyksessä, että se kerran oli, tutkijat etsivät muita tuotteita hakata. Ja Ciscon reitittimet ovat kiinnostava kohde.

"Jos omistat verkon, sinä omistat yrityksen", sanoi verkkotekniikan ja turvallisuuden johtava Nicolas Fischbach, COLT Telecomin kanssa, joka on eurooppalainen yritys. datapalvelujen tarjoaja. "Omien Windows-tietokoneiden omistaminen ei ole enää etusija."

Mutta Ciscon reitittimet tekevät Windows-sivustosta entistä kovemman tavoitteen. He eivät ole yhtä tunnettu hakkereille, ja he tulevat monissa kokoonpanoissa, joten hyökkäys yhdelle reitittimelle saattaa epäonnistua sekunnissa. Toinen ero on se, että Ciscon järjestelmänvalvojat eivät ole jatkuvasti ladattavia ja käynnissä olevia ohjelmistoja.

Lopuksi Cisco on tehnyt paljon työtä viime vuosina vähentääkseen Internetin reitittimiin kohdistuvien hyökkäysten määrää Fischbach. "Kaikki peruspalvelut, jotka ovat todella helppoja käyttää verkkopalveluja vastaan, ovat todella poissa", hän sanoi. Vaarana on, että verkkoyrityksen ulkopuolelta jäänyt hyvin konfiguroitu reititin on "todella alhainen".

Tämä ei ole estänyt viimeisintä turvallisuustutkijoiden tuottoa.

Kaksi kuukautta sitten Core Security -hankkeen tutkija Sebastian Muniz esitteli uusia keinoja Cisco-reitittimien hard-to-detect rootkit -ohjelmien rakentamiseksi ja tällä viikolla hänen kollegansa Ariel Futoransky antaa Black Hat-päivityksen yhtiön tutkimustyöhön.

Lisäksi kaksi Lontoossa toimivaa tietoturvahallinnan tutkijaa (IRM) suunnittelee julkaisevan muutetun version GNU Debuggerista, joka antaa hakkereille mahdollisuuden katsoa, ​​mitä tapahtuu, kun Cisco IOS -ohjelmisto käsittelee koodinsa ja kolme shellcode-ohjelmaa jota voidaan käyttää Ciscon reitittimen hallintaan.

IRM-tutkijat Gyan Chawdhary ja Varun Uppal ovat ottaneet toisen katsauksen Lynnin työhön. Erityisesti he ottivat tarkan kuvan siitä, miten Lynn kykenisi kiertämään IO-tietoturvaominaisuutta nimeltä Check Heap, joka etsii reitittimen muistia sellaisten muutosten tyypistä, joiden avulla hakkeri pystyy käyttämään luvatonta koodia järjestelmässä.

He huomasivat, että vaikka Cisco oli estänyt tekniikan, jonka Lynn oli tappanut Check Heapsin, oli olemassa vielä muita tapoja salata koodinsa järjestelmään. Lynnin paljastamisen jälkeen Cisco "yksinkertaisesti korjasi vektorin", Chawdhary sanoi. "Tietyssä mielessä virhe pysyy edelleen."

Muokkaamalla osaa reitittimen muistista he pystyivät ohittamaan Check Heapsin ja suorittamaan sen shellcodea järjestelmään, hän sanoi.

Tutkija Lynn hyökkäsi tekemään hänen Oman tutkimuksen mahdollista, Felix "FX" Lindner, puhuu myös Ciscon hakkeroinnista Black Hatissa. Recency Labsin johtaja Lindner aikoo julkaista uuden Cisco-rikosteknisen työkalunsa nimeltä CIR (Cisco Incident Response), jota hän on testannut viime kuukausien aikana. Käytössä on ilmainen versio, joka tarkistaa reitittimen muistiin rootkitit, kun taas ohjelmiston kaupallinen versio pystyy havaitsemaan hyökkäykset ja suorittamaan laitteiden rikosteknisen analyysin.

Tämä ohjelmisto antaa verkkoalan ammattilaisille kuten Fischbachille tavan palata takaisin ja katsoa Ciscon laitteen muistia ja katsoa, ​​onko sitä muokattu. "Uskon, että siellä on hyötyä", hän sanoi. "Minulle se on osa työkalupakettia, kun teet rikosteknisiä, mutta se ei ole ainoa keino, johon sinun pitäisi luottaa."

Cisco-hyökkääjällä on edelleen suuria esteitä, Stewart sanoo. Esimerkiksi monet hyökkääjät ovat haluttomia hakata reitittimiä, koska jos he tekevät virheen, he katoavat koko verkon. "Meillä on tapana päästä läpikotaisin, koska kukaan ei halua apina infrastruktuurissa, jota he käyttävät", hän sanoi. "Se on kuin kierrättää moottoritietä samalla, kun yrität mennä toiseen kaupunkiin."

Vaikka Ciscon ei ehkä olekaan merkittäviä turvallisuusongelmia juuri nyt, Stewart ei ole mitään itsestään selvää.

Itse asiassa hän myös myönsi, että hänen yrityksensä on ollut toistaiseksi onnellinen, ja hän tietää, että tämä voi muuttua, jos Lindnerin tarpeeksi ihmisiä alkaa käsitellä ongelmaa. "Meillä on aikaa", hän sanoi. "Meillä on mahdollisuus olla parempi, ja meidän on jatkuvasti panostettava hyökkäyspinnan laskemiseen."